Все, что вам нужно знать, чтобы построить программу AppSec
AppSec - это набор процессов, инструментов и практик, направленных на защиту приложений от угроз на протяжении всего жизненного цикла. Киберпреступники часто организованы, специализированы и мотивированы на поиск и использование уязвимостей в корпоративных приложениях для кражи данных, интеллектуальной собственности и конфиденциальной информации. Безопасность приложений может помочь организациям защитить все виды приложений (таких как устаревшие, настольные, веб, мобильные или микросервисы), используемых внутренними и внешними заинтересованными сторонами, включая клиентов, деловых партнеров и сотрудников.
Как подтверждено многочисленными исследованиями, большинство успешных взломов нацелены на уязвимости, которые могут использоваться на уровне приложений, что указывает на необходимость принятия мер в отношении безопасности приложений. Кроме того, количество и сложность приложений постоянно растет.
Организации по разработке программного обеспечения пытаются защитить приложения, которые они разрабатывают и разворачивают, по нескольким причинам. Во-первых, растущая зависимость от открытого исходного кода в качестве экономичной и экономящей время основы для разработки приложений требует от групп разработчиков тщательной проверки этого кода на наличие уязвимостей.
Во-вторых, при обнаружении уязвимости время, необходимое ответственной стороне для исправления и исправления уязвимого кода, представляет многочисленные проблемы для разработчиков и потребителей программного обеспечения. Время и затраты, связанные с исправлением небезопасного кода, побуждают самые опытные команды разработчиков как можно быстрее встраивать безопасность в свои приложения в течение жизненного цикла безопасной разработки (SDLC). Они признают, что самый простой способ избежать приложений - это не создавать их в первую очередь при разработке и создании кода.
AppSec Рессурсы
Для решения этих растущих потребностей и проблем TechBeacon выпустил Гид The 2019 TechBeacon Buyer’s Guide to Application Security.
Целью данного руководства является ответ на вопросы:
1. Какое поведение в программном сообществе требует практики обеспечения безопасности приложений?
2. Какие процессы и продукты позволяют снизить риски безопасности приложений?
3. На какие вопросы должны ответить группы разработчиков приложений, чтобы определить свои дальнейшие шаги по снижению риска безопасности приложений?
Наряду с этим чрезвычайно информативным руководством у нас также есть серия вебинаров, состоящая из трех частей, которая проведет вас по пути безопасности вашего приложения, с самого начала, вплоть до зрелой программы. Вы можете найти эти вебинары здесь:
Part 1: Getting Started with Seamless AppSec in One Day
Part 2: Fitting Security into your Software Lifecycle: Automation and Integration
Part 3: Optimizing and Maturing an AppSec Program
Хотя создание эффективной и действенной программы обеспечения безопасности приложений - это долгое путешествие, вы и ваша организация не должны путешествовать в одиночку. Micro Focus Fortify всегда здесь, чтобы помочь.
Про Micro Focus Fortify.
Fortify предлагает комплексные решения для обеспечения безопасности приложений с гибкостью локального тестирования для охвата всего жизненного цикла разработки программного обеспечения. Полная гарантия безопасности программного обеспечения с Fortify on Demand - наша защита приложений как сервиса - объединяет статическое, динамическое и мобильное тестирование AppSec с непрерывным мониторингом веб-приложений в работе.
Оригинал статьи находится вот тут: https://community.microfocus.com/t5/Security-Blog/Everything-you-need-to-know-to-build-an-AppSec-program/ba-p/2690564